Google、Serverfault、StrongSwan Webサイトで何日も検索した後、StrongSwan IPSec/IKEv2 VPNをOS X 10.11.5とiOS 10で動作させることに失敗しました。非常にうまくいきました。 Windows 10 Pro Insider PreviewとAndroid-で作業するには、どちらも、MacノートブックとiOS 10デバイスしか持たない私の旅行の手配には関係ありません。
私は2つのStrongSwan VPNサーバーをセットアップしています。1つはロンドンに、もう1つはサンフランシスコにあり、どちらもほぼ同じ構成です。
従ったこと https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html 両方のサーバーをすばやくセットアップし、Windows 10 Pro Insider PreviewとAndroidの単一のクライアント証明書を発行することができました。ただし、2つのサーバーのp12をOS XとiOSにコピーしてVPNを作成すると、他の2つのオペレーティングシステムでは何が得られないのかという質問が表示されます。
「Remote ID
」および「Local ID
」とは何かに関する明確な回答を見つけたようですが、これは証明書ベースの認証済み接続の確立にどのように関係しますかSwanStrong VPNサーバーへ?
私が見つけることができなかったことから、次のことを学びました。
Local ID
は、証明書で指定されているCN
またはSAN
と一致する必要があります(つまり、[email protected]
)Remote ID
はOS XとiOSの両方で必要ですが、この入力フィールドに何を入力するかわかりませんこれは、StrongSwanサーバー構成の1つ(私がテストしてきたもの)です。
# ipsec.conf - strongSwan IPsec configuration file
config setup
charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"
conn %default
keyexchange=ikev2
ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
dpdaction=clear
dpddelay=300s
authby=pubkey
left=%any
leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
leftsubnet=0.0.0.0/0
leftcert=vpnHostCert.der
leftsendcert=always
right=%any
rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
rightdns=8.8.8.8,2001:4860:4860::8888
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
WindowsとAndroidで使用されているものと同じ証明書を使用して、OS X 10.11.5とiOS 10でVPNトンネルを正しくプロビジョニングするにはどうすればよいですか?
結局のところ、_Apple Configurator
_と_DH Group 2
_を使用するように暗号化を設定できるように、VPNプロファイルを作成するには_3DES
_を使用する必要がありました。
また、証明書の_Remote ID
_に記載されているように、_Common Name
_をVPNサーバーのFQDN
に変更する必要がありました。 OS XはSubject Alternative Name (SAN)
を無視しました。
ただし、VPNへの接続を確立できるようになりましたが、VPNを介してトラフィックをトラバースすることはできません。
その質問はこれとは無関係なので、私は別の質問を投稿しました: https://Apple.stackexchange.com/questions/253340/sending-all-traffic-over-vpn-tunnel-ikev2-in-os -x-10-11-5